Windows 365 的安全開機憑證匯報
原始出版日期: 2026年2月19日
KB ID:5080914
本文提供以下指引:
-
Windows 365 管理員管理雲端電腦。
-
使用安全開機的組織會啟用雲端電腦以執行 Windows 365 部署。
-
組織使用自訂映像檔進行 Windows 365 部署。
本文內容:
簡介
安全開機是 UEFI 韌體的安全功能,確保裝置開機序列中只有可信且數位簽章的軟體能執行。 2011 年發行的 Microsoft 安全啟動憑證將於 2026 年 6 月開始到期。 若無更新的 2023 年憑證,裝置將無法獲得新的安全開機與開機管理員保護措施,或針對新發現的開機層級漏洞的緩解措施。
所有在 Windows 365 服務中配置的啟用安全開機雲端電腦,以及用於配置它們的自訂映像檔,必須在過期前更新至 2023 年憑證以保持保護。 請參閱 Windows 裝置的安全開機憑證過期時。
這套規則適用於我的 Windows 365 環境嗎?
|
案例 |
安全開機啟動? |
需要採取行動 |
|
雲端個人電腦 |
||
|
啟用安全開機的雲端電腦 |
是 |
在雲端電腦上更新憑證 |
|
雲端電腦關閉安全開機 |
否 |
不需要任何行動 |
|
影像 |
||
|
啟用 Secure Boot 的 Azure Compute Gallery 映像檔 |
是 |
在泛化前先更新原始映像中的憑證 |
|
Azure Compute Gallery 映像檔,沒有 Trusted Launch |
否 |
配置完成後,在雲端電腦套用更新 |
|
受管理映像 (不支援受信任啟動) |
否 |
配置完成後,在雲端電腦套用更新 |
完整背景資訊請參閱安全啟動憑證更新:IT 專業人員與組織指引。
盤點與監控
在採取行動前,先清點環境,找出需要更新的裝置。 監控是確保憑證在2026年6月截止日前生效的必要步驟——即使你依賴自動部署方法。 以下是判斷是否需要採取行動的選項。
選項 1:Microsoft Intune 修復
對於註冊於 Microsoft Intune 的雲端電腦,你可以使用Intune修復 (主動修復) 部署偵測腳本,自動收集整個車隊的安全啟動憑證狀態。 腳本會在每台裝置上靜默執行,並將安全開機狀態、憑證更新進度及裝置細節回報給 Intune 入口網站——裝置不會被更改。 結果可直接從 Intune 管理中心查看並匯出為 CSV 格式,進行全艦隊分析。
關於部署偵測腳本的逐步說明,請參閱「監控 Microsoft Intune 修復中的安全開機憑證狀態」。
選項二:Windows 自動補丁安全開機狀態報告
對於已註冊 Windows 自動修補的雲端電腦,請Intune前往管理中心 > 報告 > Windows 自動修補 > Windows 品質更新 > 報告標籤 >安全開機狀態。 請參閱 Windows 自動補丁中的安全開機狀態報告。
注意:若要在 Windows 365 使用 Windows 自動補丁,雲端電腦必須註冊於 Windows 自動補丁服務。 請參閱 Windows Windows 365 企業版工作負載的 Windows 自動修補程式。
選項三:車隊監控用登錄金鑰
利用您現有的裝置管理工具,在整個機群中查詢這些登錄值。
|
登錄路徑 |
機碼 |
目的 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 狀態 |
目前部署狀態 |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023 錯誤 |
表示錯誤 (不應該存在) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動\服務 |
UEFICA2023ErrorEvent |
表示事件 ID (不應該存在) |
|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \控制\安全啟動 |
可用更新 |
待更新片段 |
完整登錄檔金鑰細節,請參閱安全啟動的登錄檔金鑰更新。
選項四:事件日誌監控
利用現有的裝置管理工具,從系統事件日誌中收集並監控這些事件ID,跨越整個車隊。
|
事件識別碼 |
位置 |
意義 |
|
1808 |
系統 |
成功申請的證書 |
|
1801 |
系統 |
更新狀態或錯誤細節 |
完整事件細節請參見安全開機資料庫與 DBX 變數更新事件。
選項 5:PowerShell 庫存腳本
執行 Microsoft 的範例安全開機清單資料收集腳本,以檢查安全開機憑證更新狀態。 該腳本會收集多個資料點,包括安全開機狀態、UEFI CA 2023 更新狀態、韌體版本及事件日誌活動。
部署
重要: 無論您選擇哪種部署方式,我們建議您監控您的裝置群,以確保憑證在 2026 年 6 月截止日前成功套用。 關於自訂圖片,請參見自訂圖片考量。
選項一:Windows Update (高信心裝置自動匯報)
當有足夠的遙測數據確認裝置在類似硬體配置上成功部署時,Microsoft 會透過 Windows 每月更新自動更新裝置。
-
狀態:高信心裝置預設啟用
-
除非你想選擇退出,否則不需要採取任何行動
|
登錄 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
機碼 |
HighConfidenceOptOut = 1 以表示退出 |
|
群組原則 |
電腦設定 > 管理範本 > Windows 元件 > 安全開機 > 透過匯報 > 設為停用以選擇退出自動部署憑證 |
推薦: 即使啟用自動更新,也要監控你的雲端電腦,確認憑證是否已套用。 並非所有裝置都符合高信心自動部署的資格。
欲了解更多資訊,請參閱自動部署協助。
選項二:IT-Initiated 部署
手動觸發憑證更新,以立即或受控推出。
|
方法 |
文件 |
|
Microsoft Intune |
|
|
群組原則 |
|
|
登錄檔金鑰 |
|
|
WinCS CLI |
附註:
-
請勿在同一裝置上混用 IT 發起的部署 (方法,例如Intune 與 GPO) ,因為它們控制相同的登錄鍵,可能會發生衝突。
-
請允許約48小時及一次或多次重新開始,才能完全生效。
自訂映像考量
自訂映像由您的組織完全管理。 你必須負責將安全開機憑證更新套用到自訂映像檔,並在使用來配置映像檔前重新上傳。
僅支援支援 Trusted Launch 與 Secure Boot) Azure (Compute Gallery 映像檔,對原始映像檔套用安全開機憑證更新。 受管理映像檔不支援安全開機,因此無法在映像層級套用憑證更新。 對於由受管理映像檔配置的雲端電腦,請直接使用上述部署方法在雲端電腦上套用更新。
在泛化新的自訂映像檔之前,先驗證憑證是否更新:
Get-ItemProperty "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" | Select-Object UEFICA2023Status
已知問題
不存在服務登錄檔金鑰
|
徵兆 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 路徑不存在 |
|
原因 |
裝置尚未啟動憑證更新 |
|
解決方案 |
請等待透過 Windows Update 自動部署,或使用上述 IT 發起的部署方式手動啟動 |
狀態顯示「進行中」,持續時間很長
|
徵兆 |
UEFICA2023狀態在多天後仍維持「進行中」 |
|
原因 |
裝置可能需要重新啟動才能完成更新流程 |
|
解決方案 |
重新啟動雲端電腦,15 分鐘後再檢查一次狀態。 如果問題持續,請參閱安全開機資料庫(Secure Boot DB)和 DBX 變數更新事件(DBX variable update events)以獲得故障排除指引 |
UEFICA2023 錯誤登錄檔金鑰存在
|
徵兆 |
UEFICA2023 錯誤登錄檔金鑰存在 |
|
原因 |
在憑證部署過程中發生錯誤 |
|
解決方案 |
詳情請查閱系統事件日誌。 請參考 Secure Boot DB 和 DBX 變數更新事件以獲得故障排除指引 |
資源
Need more help?
Want more options?
探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。
社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。
